Source:https://news.yahoo.co.jp/articles/b0a95d4287a39cdc63c8eed47e0a179d7b81a4b2
配信、ヤフーニュースより
ネパール在住のハッカーGtm Mänôz氏は20日、Facebookには他人が2要素認証を無効にできてしまう脆弱性がかつて存在していたことを明らかにした。同氏はこの問題を9月14日にMetaに送信し、10月17日に修正された。同氏は発見により報酬金を得たという。
Metaのアカウントセンターには、メールアドレスと電話番号をInstagramとリンクされたFacebookアカウントの両方に追加するオプションがあり、メールまたは電話番号で受け取った6桁の2要素認証コードを入力してログインする機能がある。
しかしこれを実装した当初は6桁のコードの入力回数上限がなかったため、成功するまでチャレンジするブルートフォース攻撃を行ない、ログインした後に2要素認証をオフにするといったことができてしまったという。
Facebookのチームは、「最大の潜在的な影響があった」として、当初予定していた報酬金に加えて、12月15日に追加の報酬金を支払った。支払額は2万7,200ドル。また、このバグはFacebookからも報告された。
PC Watch,劉 尭
0 件のコメント:
コメントを投稿